Django开发web安全防护

最新推荐文章于 2023-08-29 10:52:09 发布
最新推荐文章于 2023-08-29 10:52:09 发布
阅读量462 收藏 1
点赞数
文章标签: python web安全 数据库
原文链接:http://www.cnblogs.com/Tridents/p/9303572.html
版权

<1> sql注入攻击与防范

  (1)、sql注入的危害

    1、非法读取,篡改,删除数据库的中的数据;

    2、盗取用户的各类敏感信息,获取利益;

    3、通过修改数据库来修改网页上的内容;

    4、注入木马等等;

    (2)、sql注入的防范

   1、对于用户的输入进行合法性判断;

    2、参数中加入sql语句拼接字符串使之为真;

       3、使用django的orm,它已经对这些做了处理;

 

 

<2> XSS攻击

 

  (1)、XSS跨站脚本攻击(Cross Site Scripting)的危害

 

    1、盗取用户各类账号,如用户网银账号,各类管理员账号;

 

    2、盗取企业重要的具有商业价值的资料;

 

    3、非法转账;

 

    4、控制受害者的机器向其它网站发起攻击,注入木马等等;

    

    正常流程:

        

            http://www.bank.com/product/list/?name='iphone6'

 

        当传入商品参数iphone6时,这个字符串会被显示在页面中!

 

            http://www.bank.com/product/list/?name=<script>x=document.cookie;alert(x);<script>

        

        将代码修改为js代码

        

        攻击者拿到你的cookie信息,然后伪装成用户        

      

 

    (2)、XSS攻击防范

 

   1、首先代码里对用户输入的地方和变量都需要仔细检查长度和对

     "<" , ">"  , "," ," ' "等字符做过滤;

 

    2、避免直接在cookie中泄露用户隐私,列入email,密码等等通过使cookie

     和系统ip绑定来降低cookie泄露之后的危险;

 

       3、尽量使用POST而不是GET来提交表单数据;

 

 

<3> CSRF攻击与防护

 

  (1)、csrf跨站请求伪造(Cross-site request forgery)的危害

 

    1、以你的名义发邮件;

 

    2、盗取你的账号;

 

    3、购买商品;

 

    4、虚拟货币转账;

    

    

    用户并没有向a请求,而是访问了b。b要求用户访问a的。
    原因:用户向a的每次请求都会带上session id

    

 

    (2)、csrf跨站请求伪造的防范

 

   *、提交form表单必须添加crsf token,攻击网站无法生成crsf token;

 

转载于:https://www.cnblogs.com/Tridents/p/9303572.html

weixin_30485799
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Django Web开发指南 python
03-15
Django Web开发指南,是一门描述python开发 web功能的框架的使用书籍。
Django安全防护-Django安全问题上的处理详解
盖世英雄
11-13 4492
跨站脚本 (XSS) 防护¶XSS攻击允许用户注入客户端脚本到其他用户的浏览器里。 这通常是通过存储在数据库的恶意脚本,它将检索并显示给其他用户,或者通过让用户点击一个链接,这将导致攻击者的 JavaScript 被用户的浏览器执行。 然而,XSS 攻击可以来自任何不受信任的源数据,如 Cookie 或 Web 服务,任何没有经过充分处理就包含在网页的数据。使用 Django 模板保护你免受多数
Python开发-Django安全
huidaoli
12-15 4847
发起 XSS 攻击的人可以向其他用户的浏览器诸如客户端脚本。这种攻击通常由存储在数据库的恶意脚本实现,这些脚本会被检索出来并显示给其他用户;或者通过其他用户点击会令攻击者的 JavaScript 脚本在浏览器执行的链接来实现。然而,倘若在数据加载到页面前未经过彻底地清理,那么 XSS 攻击可以来自任何不可信任的数据源,比如 cookies 或者 Web 服务器。
Django 安全策略的 7 条总结!
weixin_34099526的博客
12-31 255
Florian Apolloner 发言主题为 Django 安全,其并未讨论针对 SSL 协议的攻击--因为那不在 Django 涉及范围内。(如感兴趣可参考 https://www.ssllabs.com/ssltest/)。 如发现 Django安全漏洞,请参阅 https://djangoproject.com/security,并通过此邮...
Django初学者笔记系列(十六):确保项目的安全
qq_39453977的博客
12-03 163
当前,我们部署的项目存在一个严重的安全问题:settings.py包含设置DEBUG=True,它在发生错误时显示调试信息。开发项目时,Django的错误页面向你显示了重要的调试信息,如果将项目部署到服务器后依然保留这个设置,将给攻击者提供大量可供利用的信息。我们还需确保任何人都无法看到这些信息,也不能冒充项目托管网站来重定向请求。 下面来修改settings.py,以让我们能够在本地看到错误消息...
Django,如何保护免受攻击?
2301_78316786的博客
07-10 391
例如,我们可以使用 permissions 模块来定义不同的权限级别,然后使用 login_required 和 permission_required 装饰器来控制对视图的访问。当然,这只是一个开始。虽然 Django 的 ORm 系统会自动为我们的查询和修改操作生成安全的 SQL 语句,但是有时候我们可能需要手动编写 SQL 语句。这个过程包括对代码的审查、对配置的审查、对日志的审查和对漏洞的修补。例如,如果我们的应用需要用户输入一个年龄,那么我们需要确保这个输入是一个合法的数字,而不是一段恶意代码
python Djangoweb开发实例(入门)
09-18
主要介绍了python Djangoweb开发实例,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
DjangoWeb开发指南
11-07
2.2 运行开发服务器 2.3 创建Blog应用 2.4 设计你的Model 2.5 设置数据库 2.6 设置自动admin应用 2.7 试用admin 2.8 建立Blog的公共部分 2.9 最后的润色 2.10 总结 第3章 起始 3.1 动态网站基础 3.2 ...
Python Django Web开发指南
03-14
Python Django Web开发指南
Django Web开发指南
02-02
本书讲述如何用Python框架Django构建出强大的Web解决方案,本书讲解了使用新的Django 1.0版的各种主要特性所需要的技术、工具以及概念。... 本书适用于Python框架Django初学者,Django Web开发技术人员。
Django基础7——用户认证系统、Session管理、CSRF安全防护机制
最新发布
百慕卿君博客
08-29 865
1、Django内置auth模块实现的用户认证系统。 2、Django Session管理,自主开发用户认证系统(基于装饰器)。 3、CSRF安全防护机制。
安全测试-django防御安全策略
seanyang_的博客
08-28 710
django针对安全方面有一些处理,学习如何进行处理设置,也有利于学习安全测试知识。
Django防止DDOS攻击的措施
LoadingCreate的博客
06-22 210
当某个 IP 地址的同时连接数达到预设阈值时,可以让服务器暂时停止响应,从而防止 DDOS 攻击。请注意,这些措施并不能完全防止 DDOS 攻击,但它们可以降低攻击的影响。因此,您应该使用安全的编程和管理实践,以保护您的代码免受恶意攻击。使用缓存是防止 DDOS 攻击的另一种有效的措施。当您启用缓存时,Django 可以快速地响应请求,从而减少由于 DDOS 攻击而导致的负载压力。DDOS 攻击是一种用于使 Web 应用程序不可用的攻击,它使用多个计算机来占用 Web 服务器的所有连接。
Django | 安全防护】CSRF跨站伪请求和SQL注入攻击
计算机魔术师的blog
08-22 3922
一、演示CSRF漏洞 二、环境准备 三、模拟黑客🐱‍👤 四、解决办法 五、SQL注入攻击漏洞
使用Python Django开发web应用16 安全
刘一凡的博客
08-13 1343
版本声明:转载请注明出处。未经允许,禁止商业用途。 使用Python Django开发web应用 安全 ----刘一凡 XSS Cross Site Script,跨站脚本攻击。为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故缩写为XSS。 一个恶意的使用者将代码注入网页,如果服务器不对用户提供的数据进行充分检查,当其它用户查看网页内容时,他的Web...
Django 实现有点安全的网站登录认证机制——口令爆破
Bcdfxg的博客
01-06 1600
这次讲登录认证机制最常见的漏洞,口令暴力破解
Django 实现有点安全的网站登录认证机制——口令存储
Bcdfxg的博客
12-01 520
前面一篇实现了一个漏洞百出的网站登录认证机制,这里在前儿的基础上加上一点安全机制。这次关于用户口令在服务器的存储问题
基于django的网络隐私检测系统
laojin1234的博客
08-21 224
设置会员和管理员两个身份,会员登录可以查看个人信息,可以修改个人信息,可以启动爬虫搜索关键词。管理员可以进入管理后台,可以修改后台数据,可以启动爬虫搜索关键词,可以增删查改用户信息。使用的是pythondjango框架做的后端,前端使用的是bootstart响应式框架。数据库(sqlite/mysql/sqlserver等):splite或mysql。开发工具(eclipse/idea/vscode等):pycharm。登陆页面,可以输入账号密码进行登陆。主页面,可以输入关键词获取信息。
Django | 安全防护】防止XSS跨站脚本攻击
计算机魔术师的blog
08-18 805
假设我是一名攻击者🐱‍👤 xxs原理:攻击者将自己的个人信息填写上javascript脚本,那么我们作为用户去查看字段时,会直接渲染 信息内容,此时就会运行攻击脚本script进行发送信息,删除用户等操作......
django框架的后端开发包括哪些技术
05-05
Django框架的后端开发包括以下技术: 1. Python编程语言:Django是一个用Python编写...10. 安全性:Django提供了一些安全性的功能,如CSRF防护、XSS防护等,后端开发需要了解如何使用这些功能来保障Web应用的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值